edición general
221 meneos
637 clics
Lo que afirma una nueva demanda sobre el cifrado de extremo a extremo de WhatsApp (EN)

Lo que afirma una nueva demanda sobre el cifrado de extremo a extremo de WhatsApp (EN)

Según la denuncia, el personal de Meta puede solicitar acceso a los mensajes de WhatsApp a través de un sistema interno de tareas. Una vez aprobado, según la denuncia, los mensajes pueden verse casi en tiempo real y de forma histórica, sin necesidad de un paso adicional de descifrado. A medida que se desarrolla este caso, se refuerza un principio fundamental de la privacidad: el cifrado debe ser verificable, no una cuestión de confianza.

| etiquetas: whatsapp , cifrado , va a ser que no
91 130 0 K 434 tecnología
58 comentarios
91 130 0 K 434 tecnología
Comentarios destacados:            
Ramen #2 Ramen
Still, the case raises a familiar and uncomfortable question: when a platform is closed-source and controlled by a single company, can users ultimately trust assurances they cannot independently verify?

Tal cual.
28 K 246
#8 guillersk
#2 ostia, pues claro que no, pero es que eso ya se sabia
4 K 50
#15 Setis
#8 Pero es que las empresas prometen y prometen y contratan a los mejores mentirosos especialistas en márketing para convencernos.
0 K 7
#39 Penadeoccidente
#8 eso lo saben los que entienden que significa open source. El 95% de la población no tienen ni guarra de la falta de privacidad en la que realmente viven, y mucho menos de sus posibles consecuencias.
0 K 7
Waves #23 Waves
#2 Siempre puedes enviar mensajes cifrados con otro sistema, de forma que WhatsApp (la app en sí) nunca reciba el mensaje sin cifrar.

Tipor tie tijem tiplo, tide ties tita tima tine tira ticu titre. :tinfoil:
1 K 11
#27 reverendocabron
#23 bipi epen dipi chopo
1 K 15
Ramen #28 Ramen
#23 hace tiempo que guachap no deja usar aplicaciones de terceros. La forma más segura de usar esa app es no usándola
3 K 35
Waves #30 Waves
#28 Pero no hablo de usar aplicaciones de terceros, sino de que el mensaje o fichero que adjuntes en WhatsApp tenga su propio cifrado, de manera de que no dependa del cifrado de la app de mensajería (que puede no existir o estar intencionadamente comprometido).
0 K 9
Ramen #34 Ramen
#30 super facil. Mucho mejor usar ficheros de texto cifrado mediante Age (por aquello de usar cifrado asimétrico y moderno) en lugar de proponer usar una aplicación alternativa
0 K 11
beltzak #40 beltzak *
#2 Como si fueran verificables las aplicaciones de Proton donde solo el código de las aplicaciones cliente son open source.

Que yo sepa, hasta hoy ninguna parte servidor de ninguno de sus servicios ha sido liberado. Por lo tanto, no es verificable.
0 K 9
Ramen #44 Ramen
#40 Delta Chat es código abierto tanto la parte cliente como la parte servidor y usa protocolos públicos y abiertos. XMPP lo mismo. Código abierto y estándares abiertos. Signal es auditado. Briar, Cwtch, SimpleX... todos con código abierto.
0 K 11
beltzak #53 beltzak
#44 ¿Qué tienen que ver esas aplicaciones con Proton?

Yo he dicho que los servicios de Proton no son verificables ya que solo proporcionan una parte, la otra es cerrada.

Los bancos y las empresas también tienen auditorías y cuando tu pagas a una empresa te sorprenderías las cosas que se pueden conseguir. Si si, ya se que la reputación de la empresa auditora está en juego y tal pero son infinidad de casos ya que han salido a la luz que demuestran la corrupción que hay en el sistema. Si te…   » ver todo el comentario
0 K 9
Ramen #57 Ramen
#53 son alternativas a whatsapp. Yo en ningún momento he hablado de Proton. Proton es quien publica la noticia. Lo importante es la privacidad de las comunicaciones de mensajería instantánea que es lo que está denunciando desde Proton.
0 K 11
beltzak #58 beltzak
#57 Ya pero en su artículo habla de la verificabilidad y sus servicios no lo son. Es decir, no puedes denunciar a un tercero de que su software no es verificable cuando el tuyo tampoco lo es.

A eso en mi pueblo le llamamos hipocresía o en términos más mundanos tener la jeta de cemento armado o ser mas falso que un cromo de Arkonada.

Lo cierto es que Proton abandera la privacidad como si fuera un garante de ese derecho y ninguno de sus productos son fiables, y no son fiables en los mismos términos que ellos mismos mencionan en este artículo, no podemos verificar el código fuente de sus servidores en ninguno de sus productos.
0 K 9
carlesm #55 carlesm
#2 Ni que sea abierta. Imaginemos que Meta publica el código del servidor de WhatsApp. Quien te asegura que ese código "compilado" es el que efectivamente está corriendo.
1 K 12
jonolulu #1 jonolulu
Uncle Sam in the middle
19 K 168
anv #52 anv *
#51 A ver si así te sirve:

es.wikipedia.org/wiki/Ley_de_Vigilancia_de_la_Inteligencia_Extranjera
bja.ojp.gov/program/it/privacy-civil-liberties/authorities/statutes/12

Tal vez te sirva un reporte de Google de todos los requerimientos oficiales que ha recibido de revelar información:

transparencyreport.google.com/user-data/us-national-security?hl=es_419

Están los requerimientos que han recibido y todo (que son muchísimos), por ejemplo: storage.googleapis.com/transparencyreport/legal/NSLs/20-509134/NSL-20-
2 K 27
baraja #54 baraja
#52 suerte la próxima vez, esta vez no has sabido defender tu posición :shit:
0 K 10
anv #41 anv
Cualquiera que haya usado whatsapp web sabe que es posible mirar los mensajes del teléfono desde un ordenador. Que sí, que requiere aprobación desde el teléfono, pero la app del teléfono es de meta y los datos pasan por sus servidores así que... seguro que algo pueden hacer.

Por otro lado, nadie ha intentado prohibir whatsapp por no colaborar con los gobiernos, cosa que sí ha ocurrido con Telegram y eso que Telegram no cifra los mensajes normales: sólo los cifra cuando creas expresamente un chat cifrado. Y esos sí que sólo se pueden ver en los extremos. Si tienes otros dispositivos (como PC, tablet, etc) con la misma cuenta de Telegram, no tienen acceso a los chats cifrados creados en otro dispositivo.
2 K 26
#14 Sacapuntas
¿Quieres cifrado? ¡El que tengo aquí colgado! xD xD xD
1 K 24
#17 euacca
#12 Hay generadores de random de hardware abierto. Los fábricas tú, los enchufas en el USB y los configuras en Linux. Lo peor puede ser auditar por tu cuenta en kernel de Linux {0x1f602} . Al final tienes que confiar en alguien.
2 K 23
fredpalas #20 fredpalas
#17 no te puedes fiar al final el hardware no es open source si no es un RISC V no se puede auditar, quizas tu fuente alimentación sea pro ICE y sabe como calcular una semilla predisible el cheto naranja controla todo.
:troll: :troll: :troll:
0 K 6
#22 euacca
#20 no sé tanto de matemáticas pero pienso que se puede comprobar cuán aleatorio es, y hacer que lo parezca sin serlo no es fácil, no tan fácil como para meterlo como puerta trasera en un microcontrolador generalista. Según el hardware que uses y en software que hagas puede que ningún componente no hecho por ti sepa lo que estás tratando de hacer. Me parece que uno usaba un contador Geiger y medía el tiempo entre partículas. El compilador solo puede ver que estás midiendo el tiempo entre dos cosas, no sabe qué ni para qué.
0 K 8
fredpalas #24 fredpalas *
#22 estaba de cachondeo.
Ahora fuera de coñas.

Los números aleatorios de los pc no son aleatorios, se usan una semilla, esta semilla se suele usar un señal analogica de la fuente de alimentación y el cristal de cuarzo que genera la primera señal para sincronizar hay un video de Derivando que lo explica mejor que yo youtu.be/J1439VvmnJs

El tema es que los números aletorios (en este caso PRNG), son muy importantes para poder encriptar las comunicaciones, si alguien sabe tu semilla…   » ver todo el comentario
1 K 15
Arachne #26 Arachne *
#22 Hora en milisegundos, temperatura del procesador, tiempo de PC encendido, datos a disco y red. Hay miles de variantes para generar aleatorios con una buena semilla. Ninguna ideal pero hay un montón de sensores que por un par de euros te miden la luz, sonido, humedad... Muchas variantes a lo largo del día y del año. cc #24
2 K 16
Pablosky #31 Pablosky *
#24 Acabas de recordarme que una vez usé como semilla de un generador de números aleatorios el generador aleatorio de títulos de películas de Steaven Seagal.

friguron.atwebpages.com/seagal_film/

Supongo que no sería la cosa más fiable del mundo, pero cumplia. Además el título del día también lo enviaba por el email corporativo junto a los informes diarios. Teníamos conversaciones en la oficina cada día sobre la comparación (a nivel técnico, por supuesto) entre conceptos como "Desafío Hostil", "Sangre Sangrienta" y "Muerte Definitiva 2" xD

CC: #26
1 K 16
tommyx #33 tommyx
#24 las passwords no se guardan como tales, solo los hashes, eso si es un sistema decente.
0 K 8
#37 solojavi
#24 Hace años que no utilizo gpg, pero cuando lo hacía me pedía mover el ratón aleatoriamente para generar entropía. Supongo que lo seguirán haciendo pero no puedo confirmarlo porque desde que utilizo certificados de la fnmt abandoné completamente el gpg.
0 K 9
#25 mcfgdbbn3 *
#17 y #12: Y las puertas traseras de los chips.

De todas maneras. generar claves para Enigma con un dado no lo veo pwneable, eso sí, es largo y tedioso. Con impresoras 3D creo que sería viable hacer rotores de muchas letras, de manera que sea más complicado sacar la clave y si no se pone reflector obligarías a probar todas las claves.

Incluso se me ocurre esto: junto a la clave indicar un número que significa el número de carácter donde empieza la validez del mensaje, de forma que metes cinco mensajes y solo uno es el correcto, los otros serían "válidos" con otras claves al azar. Quizás usando electrónica discreta se pueda conseguir una máquina que no se pueda pwnear más que probando todas las combinaciones.
0 K 12
baraja #9 baraja
Denuncia anónima sin una prueba. Que puede ser verdad o no, a saber.

The complaint does not include technical evidence demonstrating a cryptographic backdoor or otherwise proving that WhatsApp’s encryption has been compromised. At this stage, the claims remain unproven.

La denuncia no incluye pruebas técnicas que demuestren la existencia de una puerta trasera criptográfica ni que prueben de otro modo que el cifrado de WhatsApp se haya visto comprometido. En este momento, las acusaciones siguen sin estar probadas.
1 K 21
Ormuzd #19 Ormuzd
#9 Se puede dar la vuelta.
Meta no incluye las pruebas tecnicas que demuestren la inexistencia de una puerta trasera criptografica ni que prueben de otro modo que el cifrado de WhatsApp no se haya comprometido. En este caso, las defensas siguen sin estar probadas.

Y ahora pensadlo bien con el pasado que tiene Meta, ¿creeis de verdad que no tiene acceso a las conversaciones "cifradas"?
11 K 100
Ramen #29 Ramen
#19 Lleva años sin aceptar auditorías independientes. Como para fiarse de que no están usando para el cifrado de todos los mensajes una "llave pública maestra" para tener acceso a todos los mensajes
2 K 31
baraja #47 baraja
#19 falacia de prueba diabólica, no se puede dar la vuelta

Quien afirma algo es quien tiene que probarlo

es.wikipedia.org/wiki/Prueba_diabólica

Esto no significa que no existan puertas traseras sino que es labor del denunciante probar que existen, no del denunciado probar que no.
1 K 16
anv #42 anv
#9 no incluye pruebas técnicas que demuestren la existencia

Si se han puesto a denunciar seguramente algo tendrán. Es posible que no lo presenten todavía para no darles tiempo a ocultarlo o cambiarlo.

Meta no puede quitar puertas traseras porque está obligado por ley a tenerlas.
0 K 7
baraja #48 baraja
#42 Meta no puede quitar puertas traseras porque está obligado por ley a tenerlas.

Citation needed :shit:
0 K 10
baraja #51 baraja
#49 no, no me sirve

Tendrás que citar el artículo de la ley que obliga a Meta a hacer lo que están denunciando los del artículo, no recoger artículos periodísticos como si fueras Manos Limpias :shit:
0 K 10
Aokromes #10 Aokromes
me parto el eje de que proton venga con cuestiones de confianza.
1 K 19
#36 juanac
#10 ad hominem
0 K 10
beltzak #45 beltzak
#36 Bueno, ad hominem si no tenemos en cuenta de que ninguno de los servicios que ofrece Proton son open source. Solo la mitad que no nos interesa.

Si tenemos en cuenta eso entonces es como cuando Apple habla de privacidad y de sostenibilidad del medio ambiente y luego para arreglar un SSD tienes que cambiar toda la placa madre, incluido CPU, RAM, GPU, Chipset, puertos de conectividad etc etc. Y no, no hablo del SOC de Apple Silicon si no de portátiles con CPU Intel, iMac con GPU AMD defectuosas etc etc.
0 K 9
anv #43 anv
#10 Proton, al igual que todos, cumple con las leyes.
0 K 7
beltzak #46 beltzak
#43 Engañar con publicidad y marketing con verdades a medias es totalmente legal.
1 K 12
capitan__nemo #7 capitan__nemo *
Puede estar encriptado de extremo a extremo y que aun asi puedan acceder a los mensajes. Dependera de cuantas son las claves privadas y publicas que se usen para encriptarlo y quien las tenga.
1 K 18
#13 otro_nick_mas_nuevo *
#7 Ni eso, los mensajes se descifran en el cliente (la app) para mostrarlos en pantalla. De tenerlos ahí a guardarlos o enviarlos a algún server hay un paso. Nunca lo sabremos, porque no es software libre.
1 K 18
alephespoco #50 alephespoco
#7 El algoritmo (que es el protocolo Signal, que implementa el doble rachet), puede ser perfectamente seguro.
Lo que ocurre es que los mensajes están en el cliente, que los puede mandar en claro, pedirselos en claro, enviar metadatos etc...
0 K 9
#3 mcfgdbbn3
El único cifrado confiable es que construyáis una máquina Enigma con una impresora 3D y evitéis el uso de palabras previsibles escritas tal cual, o sea, meted faltas de ortografía.
0 K 12
nemeame #4 nemeame
#3 O también se puede usar software libre que se puede auditar y distribuir libremente, no se, por proponer una idea loca
18 K 138
jonolulu #5 jonolulu
#4 Y si ya lo autoalojas, lo bordas
1 K 28
ccguy #11 ccguy
#5 sí, tu propio WhatsApp... Para qué sirve?
0 K 20
carlesm #56 carlesm
#11 WhatsApp, inicialmente, estaba implementado sobre XMPP. Un protocolo estándar de intercambio de mensajes, que se diseñó para poder ser federado. Es decir, poder tener miles de servidores, cada uno con un dominio, interconectados.
0 K 9
#6 mcfgdbbn3 *
#4: Si no tienes hardware libre, estás vendido.

Incluso la Enigma podría ser pwneada si la impresora 3D cambia los planos por su cuenta, o el ordenador con el que la diseñas, pero ya sería algo bastante burdo. :-P Eso sí, la generación de claves debe ser realizada mediante dados, porque un ordenador pwneado podría generarte claves que parecen aleatorias pero no lo son, así que tus mensajes estarían comprometidos.
4 K 56
fredpalas #12 fredpalas *
#6 es peor tu hardware que genera la semilla para tu PRNG (pseudo random number generator) es controlado por los fabricantes de chips que son Intel y AMD 2 empresas americanas Estadounidenses, no te puedes fiar de nada, has sido pwneado por el estado de tu maquina controlado por el gran y libre gobierno de los Estados Unidos de America.
2 K 21
#16 la_gusa
#12 yo no tengo ese problema, externalizo la generación a mi computador cuántico
1 K 21
fredpalas #21 fredpalas
#16 tu debes ser como los de cloudflare y su cruzada contra la Liga que usan el muro de lamparas de lava para tener una entropia real y post cuántica.

{0x1f602} {0x1f602} {0x1f602}
0 K 6
tommyx #32 tommyx
#6 ojo que hay dados trucados
1 K 20
#38 mcfgdbbn3
#32: Los compras de casino que son transparentes. :-)
0 K 12
#18 euacca
El problema es que en "extremo a extremo", ¿Qué es un extremo? Con algo manual estilo gpg está claro, pero con una aplicación de software cerrado, y tan automática, tienes poco control de lo que sucede dentro de tu propio teléfono.

Meta no puede leer tus mensajes cuando pasan por sus servidores, pero pueden modificar la app para que cuando los recibas y los descifres les envíes una copia. Hay otra alternativa, que es que le dicen a tu contacto, a su app, la versión código máquina del…   » ver todo el comentario
0 K 8
hormiga_cartonera #35 hormiga_cartonera *
Iba a ser gratis si no fuera un honeypot porque los reyes magos. Eso es un sumidero con el beneplácito y la complicidad de la inteligencia gubernamental. Qué ingenuidad pesar lo contrario...
0 K 8

menéame